管理 Microsoft Entra 群組和群組成員資格
Microsoft Entra 群組可用來管理所有使用者,這些使用者都需要對資源具有相同的存取權和許可權,例如可能受限的應用程式和服務。 您不需要將特殊許可權新增至個別使用者,而是建立一個群組,將特殊許可權套用至該群組的每個成員。
本文涵蓋將單一群組新增至單一資源的基本群組案例,並將使用者新增為該群組的成員。 如需動態成員資格和規則建立等更複雜的案例,請參閱 Microsoft Entra 使用者管理檔。
新增群組和成員之前, 請先瞭解群組和成員資格類型 ,以協助您決定建立群組時要使用的選項。
建立基本群組並新增成員
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
您可以使用 Microsoft Entra 系統管理中心,同時建立基本群組並新增成員。 可以管理群組的 Microsoft Entra 角色包括群組 管理員 istrator、User 管理員 istrator、Privileged Role 管理員 istrator 或 Global 管理員 istrator。 檢閱 適當的 Microsoft Entra 角色以管理群組
若要建立基本群組並新增成員:
以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別群組>] [所有群組]。
選取新增群組。
選取 [ 群組類型]。 如需群組類型的詳細資訊,請參閱 瞭解群組和成員資格類型 一文。
- 選取 [Microsoft 365 群組類型] 會啟用 [群組電子郵件位址] 選項。
輸入組名。選擇您記住的名稱,且對群組有意義。 將會執行檢查,以判斷名稱是否已經在使用中。 如果名稱已在使用中,系統會要求您變更群組的名稱。
- 群組的名稱不能以空格開頭。 使用空格啟動名稱可防止群組顯示為步驟的選項,例如將角色指派新增至群組成員。
群組電子郵件位址: 僅適用於 Microsoft 365 群組類型。 手動輸入電子郵件位址,或使用從您提供的組名建置的電子郵件位址。
群組描述。 將選擇性描述新增至您的群組。
將 Microsoft Entra 角色切換至群組設定為 [是],以使用此群組將 Microsoft Entra 角色指派給成員。
- 此選項僅適用於 P1 或 P2 授權。
- 您必須具有特殊許可權角色 管理員 istrator 或 Global 管理員 istrator 角色。
- 啟用此選項會自動選取 [指派 ] 做為成員資格類型。
- 建立群組時新增角色的能力會新增至進程。
- 深入瞭解 可指派角色的群組。
選取成員資格類型。如需成員資格類型的詳細資訊,請參閱瞭解群組和成員資格類型一文。
選擇性地新增 擁有者 或 成員。 建立群組之後,可以新增成員和擁有者。
- 選取 [擁有者] 或 [成員] 底下的連結,以填入目錄中每個使用者的清單。
- 從清單中選擇使用者,然後選取視窗底部的 [選取] 按鈕。
選取 建立。 您的群組已建立並可供您管理其他設定。
關閉群組歡迎電子郵件
歡迎通知會在新增至新的 Microsoft 365 群組時傳送給所有使用者,而不論成員資格類型為何。 當使用者或裝置的屬性變更時,會針對潛在的成員資格變更處理組織中的所有動態群組規則。 然後新增的使用者也會收到歡迎通知。 您可以在 Exchange PowerShell 中關閉此行為。
新增或移除成員和擁有者
成員和擁有者可以新增至現有群組並從中移除。 成員和擁有者的程式相同。 您需要群組 管理員 istrator 或 User 管理員 istrator 角色,才能新增和移除成員和擁有者。
需要一次新增多個成員嗎? 瞭解大量 新增成員 選項。
新增群組的成員或擁有者
以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別群組>] [所有群組]。
選取您需要管理的群組。
選取 [成員] 或 [擁有者]。
選取 [+ 新增 ] (成員或擁有者)。
捲動清單或在搜尋方塊中輸入名稱。 您可以選擇多個名稱。 當您準備好時,請選取 [ 選取 ] 按鈕。
[ 群組概觀] 頁面會更新以顯示現在新增至群組的成員數目。
拿掉群組的成員或擁有者
以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別群組>] [所有群組]。
選取您需要管理的群組。
選取 [成員] 或 [擁有者]。
從清單中選取名稱旁邊的方塊,然後選取 [ 移除 ] 按鈕。
編輯群組設定
您可以編輯群組的名稱、描述或成員資格類型。 您將需要群組 管理員 istrator 或 User 管理員 istrator 角色,才能編輯群組的設定。
若要編輯群組設定:
以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別群組>] [所有群組]。
捲動清單,或在搜尋方塊中輸入組名。 選取您需要管理的群組。
從側邊功能表中選取 [屬性 ]。
視需要更新一 般設定 資訊,包括:
組名。 編輯現有的組名。
群組描述。 編輯現有的群組描述。
群組類型。 建立群組之後,您無法變更群組的類型。 若要變更 群組類型,您必須刪除群組並建立新的群組。
成員資格類型。 變更成員資格類型。 如果您啟用 Microsoft Entra 角色可以指派給群組 選項,則無法變更成員資格類型。 如需可用成員資格類型的詳細資訊,請參閱 瞭解群組和成員資格類型 一文。
物件標識碼。 您無法變更物件識別碼,但可以複製它以用於群組的PowerShell命令中。 如需使用 PowerShell Cmdlet 的詳細資訊,請參閱 Microsoft Entra Cmdlet 來設定群組設定。
從另一個群組新增或移除群組
針對安全組類型,您可以將現有的群組新增至另一個群組(也稱為巢狀群組)。 視群組成員資格類型而定,您可以將群組新增為另一個群組的成員,就像用戶一樣,這會將訪問許可權和角色等設定套用至巢狀群組。 但是對於巢狀群組,Microsoft Entra ID 不會將指派的成員資格套用至共用資源和應用程式。
您將需要群組 管理員 istrator 或 User 管理員 istrator 角色來編輯群組成員資格。 如需安全組的詳細資訊,請參閱 建立群組之前要知道的事項。
我們目前不支援:
- 將群組新增至與內部部署 Active Directory 同步的群組。
- 將安全組新增至 Microsoft 365 群組。
- 將 Microsoft 365 群組新增至安全組或其他 Microsoft 365 群組。
- 將成員資格指派給巢狀安全組的共用資源和應用程式。
- 將授權套用至巢狀安全組。
- 在巢狀案例中新增通訊群組。
- 將安全組新增為啟用郵件功能的安全組成員。
- 將群組新增為角色可指派群組的成員。
將群組新增至另一個群組
以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別群組>] [所有群組]。
在 [ 所有群組 ] 頁面上,搜尋並選取您想要成為另一個群組成員的群組。
注意
您一次只能將群組新增為另一個群組的成員。 [ 選取群組 ] 搜尋方塊中不支援通配符。
在 [群組概觀] 頁面上,從側邊功能表中選取 [群組成員資格 ]。
選取 [+ 新增成員資格]。
找出您希望群組成為 成員的群組,然後選擇 [ 選取]。
在此練習中,我們會將「MDM 原則 - 西部」新增至「MDM 原則 - 所有組織」群組。 「MDM - 原則 - 西部」群組的存取權會與「MDM 原則 - 所有組織」群組相同。
現在您可以檢閱 [MDM 原則 - 西部 - 群組成員資格] 頁面,以查看群組和成員關聯性。
如需群組和成員關聯性的更詳細檢視,請選取父組名 (MDM 原則 - 全部組織),並查看 [MDM 原則 - 西部] 頁面詳細數據。
從另一個群組中移除群組
您可以從另一個安全組移除現有的安全組;不過,移除群組也會移除其成員的任何繼承存取權。
在 [ 所有群組 ] 頁面上,搜尋並選取您需要移除的群組作為另一個群組的成員。
在 [群組概觀] 頁面上,選取 [ 群組成員資格]。
從 [群組成員資格 ] 頁面選取父群組。
選取 [移除]。
在此練習中,我們現在將從「MDM 原則 - 所有組織」群組中移除「MDM 原則 - 西部」。
刪除群組
您可以基於任意數目的原因刪除群組,但通常是因為您:
- 選擇不正確的 [群組類型] 選項。
- 錯誤地建立重複的群組。
- 不再需要該群組。
以至少群組 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別群組>] [所有群組]。
搜尋並選取您要刪除的群組。
選取 [刪除]。